Introducción
Este documento describe una configuración que utiliza el comando ip nat outside source static y los resultados de los paquetes IP del proceso NAT.
Prerequisites
Requirements
Cisco le recomienda que tenga conocimiento acerca de este tema:
Componentes Utilizados
La información de este documento se basa en Cisco 2500 Series Router y en Cisco IOS® Software Release 12.2(27).
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
Este documento proporciona un ejemplo de configuración con el uso del comando ip nat outside source static e incluye una descripción breve de lo que sucede con el paquete IP durante el proceso NAT. Considere la topología de red en este documento como un ejemplo.
Configurar
Nota: Utilice la Command Lookup Tool para encontrar información adicional sobre los comandos que este documento utiliza. Solo los usuarios registrados de Cisco tienen acceso a la información y las herramientas internas.
Diagrama de la red
Este documento utiliza esta configuración de red:
Diagrama de la red
Cuando emite un ping originado en la interfaz Loopback1 del Router 2514W destinado a la interfaz Loopback0 del Router 2501E, esto es lo que sucede:
- En la interfaz externa (S1) del Router 2514X, el paquete de ping se muestra con una dirección de origen (SA) de 172.16.89.32 y una dirección de destino (DA) 172.16.68.1.
- NAT traduce la SA a la dirección local externa 172.16.68.5 (correspondiente al comando ip nat outside source static configurado en el router 2514X).
- El router 2514x luego verifica su tabla de ruteo para obtener una ruta a 172.16.68.1.
- Si no existe la ruta, el Router 2514X descarta el paquete. En este caso, el Router 2514X tiene una ruta hacia 172.16.68.1 a través de la ruta estática hacia 172.31.1.0. Envía el paquete al destino.
- El Router 2501E detecta el paquete en su interfaz entrante (E0) con una SA de 172.16.68.5, y una DA de 172.16.68.1.
- Envía una respuesta de eco ICMP (Internet Control Message Protocol) a 172.16.68.5. Si no tiene una ruta, elimina el paquete.
- Sin embargo, en este caso tiene la ruta (predeterminada).
- Por lo tanto, envía un paquete de respuesta al Router 2514X, con una SA de 172.16.68.1 y una DA de 172.16.68.5.
- El router 2514x ve el paquete y busca una ruta para la dirección 172.16.68.5.
- Si no posee una, responde con una respuesta “ICMP inalcanzable”.
- En este caso, tiene una ruta a 172.16.68.5 (debido a la ruta estática).
- Por lo tanto, traduce el paquete nuevamente a la dirección 172.16.89.32 y lo reenvía fuera de su interfaz externa (S1).
Configuraciones
En este documento, se utilizan estas configuraciones:
Router 2514W |
hostname 2514W
!
!--- Output suppressed.
interface Loopback1
ip address 172.16.89.32 255.255.255.0
!
interface Ethernet1
no ip address
no ip mroute-cache
!
interface Serial0
ip address 172.16.191.254 255.255.255.252
no ip mroute-cache
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.191.253
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Router 2514x |
hostname 2514X
!
!--- Output suppressed.
ip nat outside source static 172.16.89.32 172.16.68.5
!--- Outside local address.
!
!--- Output suppressed.
interface Ethernet1
ip address 172.31.192.202 255.255.255.0
ip nat inside
!--- Defines Ethernet 1 as a NAT inside interface.
no ip mroute-cache
no ip route-cache
!
interface Serial1
ip address 172.16.191.253 255.255.255.252
no ip route-cache
ip nat outside
!--- Defines Serial 1 as a NAT outside interface.
clockrate 2000000
!
!--- Output suppressed.
ip classless
ip route 172.31.1.0 255.255.255.0 172.31.192.201
ip route 172.31.16.0 255.255.255.0 172.16.191.254
!--- Static routes for reaching the loopback interfaces
!--- on 2514E and 2514W.
!
!--- Output suppressed.
|
Router 2501e |
hostname rp-2501E
!
!--- Output suppressed.
interface Loopback0
ip address 172.16.68.1 255.255.255.0
!
interface Ethernet0
ip address 172.31.192.201 255.255.255.0
!
!--- Output suppressed.
ip classless
ip route 0.0.0.0 0.0.0.0 172.31.192.202
!--- Default route to forward packets to 2514X.
!
!--- Output suppressed.
|
Verificación
Nota: solo los usuarios registrados de Cisco pueden acceder a la información y las herramientas internas.
Utilice el Analizador de Cisco CLI para ver un análisis del resultado del comando show. El Analizador de Cisco CLI (OIT) admite varios comandos show.
Utilice el comando show ip nat translations para verificar las entradas de traducción, como muestra este resultado:
2514X#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- --- --- 172.16.68.5 172.16.89.32
2514X#
Troubleshoot
Este ejemplo utiliza depuración de traducción NAT y depuración de paquetes IP para demostrar el proceso NAT.
Nota: Debido a que los comandos debug generan una cantidad significativa de salida, utilícelos solamente cuando el tráfico en la red IP es bajo para que otra actividad en el sistema no se vea afectada negativamente.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
Esta salida es el resultado cuando utiliza los comandos debug ip packet y debug ip nat simultáneamente en el Router 2514X, mientras hace ping desde la dirección de interfaz Loopback1 (172.16.89.32) del Router 2514W a la dirección de interfaz Loopback0 (172.16.68.1) del Router 2501 E.
Este resultado muestra el primer paquete que llega a la interfaz externa del router 2514X. La dirección de origen de 172.16.89.32 se traduce a 172.16.68.5. El paquete ICMP se reenvía hacia el destino afuera de la interfaz Ethernet1.
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [171]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
Este resultado muestra el paquete de retorno originado de 172.16.68.1 con una dirección de destino de 172.16.68.5, que se traduce a 172.16.89.32. El paquete ICMP resultante se reenvía fuera de la interfaz Serial1.
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [171]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
Continúa el intercambio de los paquetes ICMP. El proceso NAT para este resultado debug es el mismo que para el resultado anterior.
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [172]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [172]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [173]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [173]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [174]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [174]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
5d17h: NAT: s=172.16.89.32->172.16.68.5, d=172.16.68.1 [175]
5d17h: IP: tableid=0, s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), routed
via RIB
5d17h: IP: s=172.16.68.5 (Serial0), d=172.16.68.1 (Ethernet0), g=172.31.192.201,
len 100, forward
5d17h: ICMP type=8, code=0
5d17h: IP: tableid=0, s=172.16.68.1 (Ethernet0), d=172.16.68.5 (Serial0), routed
via RIB
5d17h: NAT: s=172.16.68.1, d=172.16.68.5->172.16.89.32 [175]
5d17h: IP: s=172.16.68.1 (Ethernet0), d=172.16.89.32 (Serial0), g=172.16.191.254,
len 100, forward
5d17h: ICMP type=0, code=0
Summary
Cuando el paquete viaja del exterior al interior, primero se produce la traducción, y luego se verifica la tabla de ruteo para el destino. Cuando el paquete viaja desde el interior hacia el exterior, la tabla de ruteo se verifica primero para el destino y luego se produce la traducción. Consulte Secuencia de Funcionamiento NAT para más obtener información.
Tome nota de la parte del paquete IP que se traduce cuando se utiliza con cada uno de los comandos anteriores. Esta tabla contiene la siguiente directriz:
Comando |
Acción |
ip nat outside source static |
- Traduce el origen de los paquetes IP que viajan desde el exterior hacia el interior.
- Traduce el destino de los paquetes IP que viajan desde el interior hacia el exterior.
|
ip nat inside source static |
- Traduce el origen de los paquetes IP que viajen desde el interior hacia el exterior.
- Traduce el destino de los paquetes IP que viajan desde el exterior hacia el interior.
|
Estas guía indican que hay más de una manera de traducir un paquete. Según sus necesidades específicas, debe determinar cómo definir las interfaces NAT (internas o externas) y qué rutas contiene la tabla de ruteo antes o después de la traducción. Tenga en cuenta que la porción del paquete que se traduce depende de la dirección hacia la que viaje el paquete, y de cómo usted configure la NAT.
Información Relacionada